備忘録

備忘録

普通のOLのゆるーいメモ

ファイアウォールとACLの違い

この前ファイアウォールについて勉強してる時に、ふと思った。

CCNPかなんかの時出てきたACLに似てない?って

 

友達に具体的に何が違うの?って聞いたけど、よくわからず。

そういえば構文とか似てるね!って言われた。

ITについて勉強始めたばっかりなせいか、わりとこういうことがある気がする。

 

ということで理解できる範囲で調べたのでメモ。

 

ファイアウォールACLの違い

1.餅は餅屋

そもそもあたしが似てるって思ったのは、単純に両方ともこれは通さないってフィルタリングをしてるってところ。

たしかに両方そうだけど、ルータはもともとパケットの転送が本当の仕事だから、ACLみたいなアクセス制限はメインじゃない。

だからやっぱりファイアウォールみたいな本業には細かいところじゃ負けてしまう。

 

ファイアウォールはログを見れる管理ツールがついてたり、パケットのウイルスチェックをする機能がついていたり・・・

ベンダーによって違いがあるから、購入時にはチェックする必要ありです。

 

2.ルールの数

ファイアウォールはルールを1つ設定すれば、入ってくるパケット(IN)と出て行くパケット(OUT) の両方のアクセス制限ができる。

でもACLはINとOUT両方に対してルールを設定する必要がある。

暗黙のdenyはファイアウォールでもACLでもどっちでもあるようなので、設定時は注意すること。

 

3.お金

当然だけど、ファイアウォールは購入する必要がある。ACLはルータの設定なので、ACLで済む所はACLで設定して、内部と外部のネットワークの境界線とか重要な部分はファイアウォールを置くっていうのが一般的みたい。

 

セキュリティ系の話で入口出口対策って聞くけど、それに当たるのがファイアウォールになる。

最近では高度標的型攻撃対策として、今までの入口出口対策に加えて内部対策というのが政府からみんなやるようにねって言われている様子。

内部対策っていうのは、内部でウイルス感染した時にそこから被害を拡大させないための仕組みのこと。

 

内部対策として1つあげられるのは分散ファイアウォール

実機をひとつひとつ設定していた従来のファイアウォールとは違って、ソフトウェアで定義されているため境界だけに置いていた今までの使い方ではなく、仮想マシン1つ1つにファイアウォールを設定することができる。

仮想マシン単位でファイアウォール付けられたら、そこから広がらないね!って考え方らしい。

 

こちらも今後勉強していきたいと思います~。